Bab 4

COSO

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

Committee of Sponsoring Organizations of the Treadway Commission, atau
disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan
keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun
suatu definisi umum untuk pengendalian, standar dan kriteria internal yang dapat digunakan
perusahaan untuk menilai sistem pengendalian mereka.

Internal Control Menurut COSO

Definisi internal control menurut COSO
Internal Control menurut COSO adalah suatu proses yang dijalankan oleh dewan direksi,
manajemen, dan staff, untuk membuat reasonable assurance mengenai:
a) Efektifitas dan efisiensi operasional
b) Reliabilitas pelaporan keuangan
c) Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
1. Lingkungan Pengendalian (Control Environment)
Corak suatu organisasi ditetapkan oleh Lingkungan pengendalian, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar untuk
semua komponen pengendalian intern, menyediakan disiplin dan struktur. Lingkungan
pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian
dari orang-orang yang ada di dalam organisasi tersebut. Beberapa faktor yang berpengaruh di
dalam lingkungan pengendalian antara lain integritas dan nilai etik, komitmen terhadap
kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur
organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM.
2. Penaksiran Risiko (Risk Assessment)
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen
risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU.
Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas
seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang
relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun ekstern yang
dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk mencatat, mengolah,
meringkas, dan melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan
keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain perubahan dalam
lingkungan operasi, personel baru, sistem informasi yang baru atau yang diperbaiki, teknologi
baru, lini produk, produk, atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan
standar akuntansi baru.

3. Aktivitas Pengendalian (Control Activities)

Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan
yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas. Aktivitas
pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat organisasi dan fungsi.
Umumnya aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai
kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja, pengolahan informasi,
pengendalian fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai
berikut.
a) Pengendalian Pemrosesan Informasi
 pengendalian umum
 pengendalian aplikasi
 otorisasi yang tepat
 pencatatan dan dokumentasi
 pemeriksaan independen
b) Pemisahan tugas
c) Pengendalian fisik
d) Telah kinerja
 4. Informasi Dan Komunikasi (Information and Communication)
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi
dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka.
Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem akuntansi yang
berisi metode untuk mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi,
mencatat, dan melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban. Komunikasi
meliputi penyediaan deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur
pengendalian intern dalam pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai
tentang sistem informasi yang relevan dengan pelaporan keuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang
tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai
dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan
untuk mengirim, memproses, memelihara, dan mengakses informasi.

5. Pemantauan (Monitoring)
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang
waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan
pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung secara
terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya. Di
berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa memberikan
kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan
informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon dari badan
pengatur yang dapat memberikan petunjuk tentang masalah atau bidang yang memerlukan
perbaikan. Komponen pengendalian intern tersebut berlaku dalam audit setiap entitas. Komponen
tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas, karakteristik
kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan kompleksitas operasi
entitas, metode yang digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan
mengakses informasi, serta penerapan persyaratan hukum dan peraturan.
Fokus Internal Coso:
Fokus Pengguna Utama adalah manajemen. Sudut pandang atas internal control adalah
kesatuan beberapa proses secara umum. Tujuan yang ingin dicapai dari sebuah internal control
adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal
serta kesesuaian dengan peraturan yang berlaku. Komponen/domain yang dituju adalah
pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas
informasi dan komunikasi.Fokus pengendalian dari eSAC adalah keseluruhan entitas.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu. Pertanggungjawaban atas sistem pengendalian dari ESAC
ditujukan kepada manajemen. Kelima komponen IC di atas memiliki hubungan yang erat satu
sama lain. Larry F Konrath (1999) menggambarkan kelima komponen tersebut bagaikan sebuah
bangunan rumah dimana Lingkungan Pengendalian menjadi pondasinya. Penilaian risiko, aktivitas
pengendalian dan informasi dan komunkasi menjadi pilar-pilarnya. Sedangkan Monitoring
menjadi atapnya. Dengan demikian, sebuah IC akan berjalan secara efektif jika kelima unsur
tersebut terbangun dengan baik dan beroperasi sesuai proporsinya masing-masing.
Menurut COSO, semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite
Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal, karena semua
orang dalam organisasi memiliki peran dalam pengendalian internal, sehingga pengendalian
internal tidak dapat berjalan dengan baik apabila ada salah satu anggota yang tidak menjalankan
perannya dalam pengendalian internal. Pihak-pihak luar seringkali memberikan kontribusi
terhadap pencapaian tujuan perusahaan, seperti Auditor eksternal, Badan Regulasi dan legislatif,
customer, analis keuangan, dan media massa. Namun demikian pihak ketiga tersebut tidak
bertanggung jawab terhadap pengendalian internal karena mereka bukan bagian dari organisasi
maupun bukan bagian dari sistem pengendalian internal.

Kelebihan dan Kekurangan Internal Control menurut COSO

Kelebihan
  Pengendalian internal dapat membantu suatu entitas mencapai kinerja dan profitabilitas
target dan mencegah hilangnya sumber daya.
 Dapat membantu memastikan pelaporan keuangan yang dapat diandalkan.
 Dapat membantu memastikan bahwa perusahaan sesuai dengan peraturan perundang-
undangan
 Menghindari kerusakan reputasi dan lainnya.
Kekurangan
Pengendalian intern dapat memastikan keberhasilan entitas yaitu, ia akan memastikan tercapainya
dasar tujuan bisnis atau setidaknya menjamin kelangsungan hidup. Pengendalian yang efektif
hanya dapat membantu entitas mencapai tujuan tersebut. Hal ini memberikan manajemen
informasi tentang kemajuan entitas, atau kurang dari itu terhadap prestasi mereka. Tapi
pengendalian intern tidak dapat mengubah manajer inheren buruk menjadi baik. Dan pergeseran
kebijakan atau program pemerintah, tindakan pesaing atau kondisi ekonomi dapat melampaui
control manajemen. Control internal tidak menjamin keberhasilan atau bahkan bertahan hidup

FRAUD TREE DAN PENJELASAANYA

Defenisi Fraud
Secara harafiah fraud didefenisikan sebagai kecurangan, namun pengertian ini telah
dikembangkan lebih lanjut sehingga mempunyai cakupan yang luas. Black’s Law Dictionary
Fraud menguraikan pengertian fraud mencakup segala macam yang dapat dipikirkan manusia, dan
yang diupayakan oleh seseorang, untuk mendapatkan keuntungan dari orang lain dengan saran
yang salah atau pemaksaan kebenaran, dan mencakup semua cara yang tidak terduga, penuh siasat.
Licik, tersembunyi, dan setiap cara yang tidak jujur yang menyebabkan orang lain tertipu. Secara
singkat dapat dikatakan bahwa fraud adalah perbuatan curang (cheating) yang berkaitan dengan
sejumlah uang atau properti.
Berdasarkan defenisi dari The Institute of Internal Auditor (“IIA”), yang dimaksud
dengan fraud adalah “An array of irregularities and illegal acts characterized by intentional
deception”: sekumpulan tindakan yang tidak diizinkan dan melanggar hukum yang ditandai
dengan adanya unsur kecurangan yang disengaja.
Webster’s New World Dictionary mendefenisikan fraud sebagai suatu pembohongan atau
penipuan (deception) yang dilakukan demi kepentingan pribadi, sementara International Standards
of Auditing seksi 240 – The Auditor’s Responsibility to Consider Fraud in an Audit of Financial
Statement paragraph 6 mendefenisikan fraud sebagai “…tindakan yang disengaja oleh anggota
manajemen perusahaan, pihak yang berperan dalam governanceperusahaan, karyawan, atau pihak
ketiga yang melakukan pembohongan atau penipuan untuk memperoleh keuntungan yang tidak
adil atau illegal”.
Apapun itu defenisinya, menurutku fraud tetaplah fraud, dimanapun itu dilakukan, baik
dilingkungan swasta maupun di sektor publik. Motifnya sama, yaitu sama-sama memperkacaya
diri sendiri/golongan dan modus operandinya sama, yaitu dengan melakukan cara-cara yang
illegal.

Tipologi Fraud
Association of Certified Fraud Examiners (“ACFE”) di Amerika serikat menyusun peta
mengenai fraud. Peta ini berbentuk pohon, dengan cabang dan ranting. Tiga cabang utama
dari fraud tree ini adalah Corruption, Asset misappropriation dan fraudulent statement.
Turunannya lebih jauh dapat dilihat dalam gambar dibawah.
Ada enam ranting yang muncul dari cabang corruption. Bandingkan ini dengan 30 (tiga
puluh) jenis tindak pidana korupsi dalam ketentutan perundang-undangan Indonesia. Cabang
kedua adalah Asset Misappropriation yang dapat diartikan secara bebas sebagai penjarahan
kekayaan perusahaan atau lembaga. Kita bisa membayangkan banyaknya jenis fraud dalam
cabang ini, mulai dari pencurian uang secara terbuka (larceny), pencurian dan penyalahgunaan
(misuse) harta lembaga, sampai pada larceny secara tidak langsung (rekening bank atas nama
pejabat). Cabang ketiga (Fraudulent Statement) merupakan fraud yang dilakukan dengan
menggunakan cara-cara akuntansi seperti earning managemen dan, windows dressing. Kausus
Enron merupakan contoh nyata dari tipeFraud ini.
Sedangkan Delf (2004) menambahkan satu lagi tipologi fraud yaitu cybercrime. Ini
jenis fraud yang paling canggih dan dilakukan oleh pihak yang mempunyai keahlian khusus yang
tidak selalu dimiliki oleh pihak lain. Cybercrimejuga akan menjadi jenis fraud yang paling ditakuti
di masa depan dimana teknologi berkembang dengan pesat dan canggih.

Motivasi Melakukan Fraud

 Pada umumnya fraud terjadi karena tiga hal yang mendasarinya terjadi secara bersama,
yaitu:
 Insentif atau tekanan untuk melakukan fraud
 Peluang untuk melakuakn fraud
 Sikap atau rasionalisasi untuk membenarkan tindakan fraud.
Ketiga faktor tersebut digambarkan dalam segitiga fraud (Fraud Triangle) berikut:
1) Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi
tersebut. Terbukanya kesempatan ini juga dapat menggoda individu atau kelompok yang
sebelumnya tidak memiliki motif untk melakukan fraud.
2) Pressure atau motivasi pada sesorang atau individu akan memebuat mereka mencari
kesempatan melakukan fraud, beberapa contoh pressure dapat timbul karena masalah
keuangan pribadi, Sifat-sifat buruk seperti berjudi, narkoba, berhutang berlebihan dan
tenggat waktu dan target kerja yang tidak realistis.
3) Rationalization terjadi karena seseorang mencari pembenaran atas aktifitasnya yang
mengandung fraud. Pada umumnya para pelaku fraud meyakini atau merasa bahwa
tindakannya bukan merupakan suatu kecurangan tetapi adalah suatu yang memang
merupakan haknya, bahkan kadang pelaku merasa telah berjasa karena telah berbuat
banyak untuk organisasi. Dalam beberapa kasus lainnya terdapat pula kondisi dimana
pelaku tergoda untuk melakukan fraud karena merasa rekan kerjanya juga melakukan hal
yang sama dan tidak menerima sanksi atas tindakan fraud tersebut.

Faktor Pemicu Fraud

Terdapat empat faktor pendorong seseorang untuk melakukan kecurangan, yang disebut
juga dengan teori GONE, yaitu Greed (keserakahan), Opportunity (kesempatan),
Need (kebutuhan), Exposure (pengungkapan). Faktor Greed dan Need merupakan faktor yang
berhubungan dengan individu pelaku kecurangan (disebut juga faktor individual). Sedangkan
faktor Opportunity dan Exposure merupakan faktor yang berhubungan dengan organisasi sebagai
korban perbuatan kecurangan (disebut juga faktor generik/umum).

Faktor generic
 – Kesempatan (opportunity) untuk melakukan kecurangan tergantung pada kedudukan
pelaku terhadap objek kecurangan. Kesempatan untuk melakukan kecurangan selalu ada
pada setiap kedudukan. Namun, ada yang mempunyai kesempatan besar dan ada yang
kecil. Secara umum manajemen suatu organisasi/perusahaan mempunyai kesempatan yang
lebih besar untuk melakukan kecurangan daripada karyawan;
– Pengungkapan (exposure) suatu kecurangan belum menjamin tidak terulangnya
kecurangan tersebut baik oleh pelaku yang sama maupun oleh pelaku yang lain. Oleh
karena itu, setiap pelaku kecurangan seharusnya dikenakan sanksi apabila perbuatannya
terungkap.

Faktor individu
 Moral, faktor ini berhubungan dengan keserakahan (greed).
 Motivasi, faktor ini berhubungan dengan kebutuhan (need), yang lebih cenderung
berhubungan dengan pandangan/pikiran dan keperluan pegawai/pejabat yang terkait
dengan aset yang dimiliki perusahaan/instansi/organisasi tempat ia bekerja. Selain itu
tekanan (pressure) yang dihadapi dalam bekerja dapat menyebabkan orang yang jujur
mempunyai motif untuk melakukan kecurangan.

Gejala Adanya Fraud

Fraud (Kecurangan) yang dilakukan oleh manajemen umumnya lebih sulit ditemukan
dibandingkan dengan yang dilakukan oleh karyawan. Oleh karena itu, perlu diketahui gejala yang
menunjukkan adanya kecurangan tersebut, adapun gejala tersebut adalah:
 Gejala kecurangan pada manajemen
 Ketidakcocokan diantara manajemen puncak;
 Moral dan motivasi karyawan rendah;
 Departemen akuntansi kekurangan staf;
 Tingkat komplain yang tinggi terhadap organisasi/perusahaan dari pihak konsumen,
pemasok, atau badan otoritas;
 Kekurangan kas secara tidak teratur dan tidak terantisipasi;
 Penjualan/laba menurun sementara itu utang dan piutang dagang meningkat;
 Perusahaan mengambil kredit sampai batas maksimal untuk jangka waktu yang lama;
  Terdapat kelebihan persediaan yang signifikan;
 Terdapat peningkatan jumlah ayat jurnal penyesuaian pada akhir tahun buku.
 Gejala kecurangan pada karyawan/pegawai
 Pembuatan ayat jurnal penyesuaian tanpa otorisasi manajemen dan tanpa
perincian/penjelasan pendukung;
 Pengeluaran tanpa dokumen pendukung;
 Pencatatan yang salah/tidak akurat pada buku jurnal/besar;
 Penghancuran, penghilangan, pengrusakan dokumen pendukung pembayaran;
 Kekurangan barang yang diterima;
 Kemahalan harga barang yang dibeli;
 Faktur ganda;
 Penggantian mutu barang.

Perilaku Pelaku Fraud

Berikut merupakan beberapa perilaku seseorang yang harus menjadi perhatian karena
dapat merupakan indikasi adanya kecurangan yang dilakukan orang tersebut, yaitu: perubahan
perilaku secara signifikan, seperti: easy going, tidak seperti biasanya, gaya hidup mewah, mobil
atau pakaian mahal.

Gaya hidup di atas rata-rata;

 Sedang mengalami trauma emosional di rumah atau tempat kerja;
 Penjudi berat;
 Peminum berat;
 Sedang dililit utang;
 Temuan audit atas kekeliruan (error) atau ketidakberesan (irregularities) dianggap tidak
material ketika ditemukan;
 Bekerja tenang, bekerja keras, bekerja melampaui jam kerja, sering bekerja sendiri.

Fraud dalam Pengelolaan Keuangan Negara

 Bantuan Likuiditas Bank Indonesia dan Century Gate. Kedua kasus ini memiliki kesamaan,
yaitu sama-sama menggunakan dana talangan yang diberikan pemerintah yang seharusnya untuk
menyelamatkan kondisi modal perbankan namun dana tersebut oleh manajemen malah
diselewengkan untuk kepentingan pribadi atau bisnisnya yang lain.
Pengadaan Barang dan Jasa. Prof. Dr. Soemitro Djojohadikusumo pada Kongres ISEI 1993
memperkirakan kebocoran keungan Negara sekitar 30% dari pengadaan barang dan jasa. Kerugian
ini bervariasi dari department ke department sampai ke tingkat pemerintah daerah. JIka dilakukan
penelitian untuk tahun-tahun sekarang ini kemungkinan persentasenya akan lebih besar lagi,
karena otonomi daerah membawa dampak adanya raja-raja kecil di daerah yang menuntut bagian
proyek pengadaan barang dan jasa.
Penyediaan Barang dan Jasa Publik. Teorinya pubic goods disediakan untuk masyarakat
luas, tanpa diskriminasi. Namun, berbagai faktor memberi peluang bagi pihak-pihak tertentu untuk
menikmati public goods seolah-olah itu merupakan private goods bagi mereka. Contohnya saja
jasa keamanan yang merupakan public goods yang disediakan TNI/Polri dapat dinikmati oleh
orang atau perusahaan yang membayar harga yang tepat. Demikian pula dengan kendaraan, rumah
dinas, dll yang diakui sepihak menjadi hak milik pejabat sebelumnya.
Peran Multinational Corporation (MNC). Potensi fraud yang melibatkan perusahaan atau
pengusaha asing biasanya terletak pada perizinan usaha pertambangan dan energi yang bisanya
diperoleh dengan cara-cara penyuapan. Apalagi pemerintah menerapkan production sharing atas
lokasi-lokasi pertambangan di tanah air yang sangat rentan diselewengkan oleh para operator
pertambangan.
Fraud pada Penerimaan Negara. Sebenarnya volume fraud yang paling besar bukan
terletak pada sisi pengeluaran tetapi justru pada penerimaan Negara, tengok saja kasus Bahasim
dan Gayus Tambunan yang meraup kekayaan besar dalam waktu singkat hanya dengna
menyelewengkan prosedur perpajakan, atau membantu mengurangi jumlah pajak kiennya. Di
pemerintah daerah kasusnya lebih bergam lagi, mulai dari pemetongan sekian persen dari
pencairan anggaran, sampai setoran penerimaan yang banyak dipotong untuk peruntukan yang
tidak jelas.
Pencegahan dan Pendeteksian Fraud
Dalam mencegah dan mendeteksi serta menangani fraud sebenarnya ada beberapa pihak
yang terkait: yaitu akuntan (baik sebagai auditor internal, auditor eksternal, atau auditor forensik)
dan manajemen perusahaan. Peran dan tanggung jawab msaing-masing pihak ini dapat
digambarkan sebagai suatu siklus yang dinamakan Fraud Deterrence Cycle atau siklus
pencegahan fraud seperti gambar dibawah ini.
Corporate Governance dilakukan oleh manajemen yang dirancang dalam rangka
mengeliminasi atau setidaknya menekan kemungkinan terjadinya fraud. Corporate
governance meliputi budaya perusahaan, kebijakan-kebijakan, dan pendelegasian wewenang.
Transaction Level Control Process yang dilakukan oleh auditor internal, pada dasarnya adalah
proses yang lebih bersifat preventif dan pengendalian yang bertujuan untuk memastikan bahwa
hanya transaksi yang sah, mendapat otorisasi yang memadai yang dicatat dan melindungi
perusahaan dari kerugian.
Retrospective Examination yang dilakukan oleh Auditor Eksternal diarahkan untuk
mendeteksi fraud sebelum menjadi besar dan membahayakan perusahaan. Investigation and
Remediation yang dilakukan forensik auditor. Peran auditor forensik adalah menentukan tindakan
yang harus diambil terkait dengan ukuran dan tingkat kefatalan fraud, tanpa memandang
apakah fraud itu hanya berupa pelanggaran kecil terhdaap kebijakan perusahaan ataukah
pelanggaran besar yang berbentuk kecurangna dalam laporan keuangan atau penyalahgunaan aset.

Mengapa Pencegahan?
Keberhasilan kegiatan memerangi fraud, setelah korupsi terjadi adalah suatu ironi
tersendiri dalam upaya penanggualan fraud karena semakin banyak mendeteksi dan
menyelesaikan kasus berindikasi fraud, bukan merupakan kondisi umum yang dikehendaki
masyarakat, sebab pada dasarnya kejadian fraud bukanlah kejadian yang dikehendaki masyarakat.
Pencegahan fraud bisa dianalogikan dengan penyakit, yaitu lebih baik dicegah dari pada
diobati. Jika menunggu terjadinya fraud baru ditangani itu artinya sudah ada kerugian yang terjadi
dan telah dinikmati oleh pihak terntu, bandingkan bila kita berhasil mencegahnya, tentu kerugian
belum semuanya beralih ke pelaku fraud tersebut. Dan bila fraud sudah terjadi maka biaya yang
dikeluarkan jauh lebih besar untuk memulihkannya daripada melakukan pencegahan sejak dini.
Untuk melakukan pencegahan, setidaknya ada tiga upaya yang harus dilakukan yaitu (1)
membangun individu yang didalamnya terdapat trust and openness, mencegah benturan
kepentingan, confidential disclosure agreement dancorporate security contract. (2) Membangun
sistem pendukung kerja yang meliputi sistem yang terintegrasi, standarisasi kerja, aktifitas control
dan sistem rewards and recognition. (3) membangun sistem monitoring yang didalamnya
terkandung control self sssessment, internal auditor dan eksternal auditor

Peran Internal Auditor

Pendeteksian fraud oleh auditor internal merupakan salah satu peran dari kegiatan internal
auditing yang dijalankan dalam organisasi. Standards No. 1210.A2 menyatakan sebagai
berikut: “The internal auditor should have sufficient knowledge to identify the indicators of fraud
but is not expected to hace the expertise of a person whose primary responsibility is detecting and
investigating fraud”.
Merujuk pada standar profesi diatas, auditor internal diharuskan memiliki pengetahuan
yang cukup untuk mendeteksi adanya indikasi fraud dalam organisasi. Pengetahuan yang harus
harus dimiliki auditor internaltermasuk pula pengetahuan mengenai karakteristik fraud, teknik-
teknik yang digunakan dalam melakukan fraud, dan jenis-jenis fraud yang mungkin terjadi pada
berbagai proses bisnis.
Auditor internal bertanggung jawab dalam mendeteksi fraud yang mungkin telah terjadi
sedini mungkin, sebelum memebawa dampak yang lebih buruk pada organisasi. Pendeteksian
tersebut dapat dilakukan pada saatmenjalankan kegiatan internal auditing. Pada saat melakukan
audit, auditor internal dapat memfokuskan diri pada area-area yang memeiliki risiko tinggi
terjadinya fraud seperti transaski kas, rekonsiliasi bank, proses pengadaan, penjualan, dll.
Jika auditor internal menemukan suatu indikasi terjadinya fraud dalam organisasi, auditor
internal harus melaporkannya kepada pihak-pihak terkait dalam organsiasi tersebut, seperti audit
committee. Auditor internal dapat memberikan rekomendasi dilakukannya investigasi yang
diperlukan untuk menyelidiki fraud tersebut.
Dalam sektor publik. Auditor internal dapat dilakukan oleh inspektorat di masing-masing
department dan oleh Badan Pemeriksa Keuangan dan Pembangunan (“BPKP”) berdasarkan
permintaan dari pemerintah. Teknis dan proses auditnya tidak jauh berbeda dengan yang dilakukan
di sektor swasta.
Peran Eksternal Auditor
Dalam melaksanakan tanggung jawab profesionalnya seorang auditor eksternal dibatasi
oleh standar-standar auditing yang berlaku. Tanggung jawab auditor sehubungan dengan fraud
dijelaskan secara umum dalam SA seksi 110 – Tanggung jawab dan fungsi auditor independen
paragraph 02: “Auditor bertanggung jawab untuk merencanakan dan melaksanakan audit untuk
memperoleh keyakinan memadai tentang apakah laporan keuangan bebas dari salah saji material,
baik yang disebabkan oleh kekeliruan atau kecurangan”.
Tanggung jawab auditor dalam mendeteksi fraud tersebut dijabarkan lebih lanjut dalam SA
seksi 316 – pertimbangan atas kecurangan dalam audit laporan keuangan. Berdasarkan SA Seksi
316 tersebut, auditor harus secara khusus menaksir risiko salah saji material dalam laoran
keuangan sebagai akibat dari kecurangan dan harus memperhatikan taksiran risiko ini dalam
mendesain prosedur audit yang akan dilaksanakan. Prosedur audit mungkin berubah apabila
terjadi fraud.
Selanjutnya dalam SA Seksi 317 – Unsur tindakan pelanggaran hukum oleh klien,
dijelaskan bahwa apabila terjadi unsur tindakan pelanggaran hukum (termasuk fraud) maka auditor
akan mengumpulkan informasi tentang sifat pelanggaran, kondisi terjadinya pelanggaran dan
dampak potensialnya terhadap laporan keuangan. Apabila dibutuhkan auditor dapat berkonsultasi
dengan penasehat hukum dan melakukan prosedur audit tambahan untuk memperoleh pemahaman
yang lebih baik tentang sifat pelanggaran yang terjadi. Terungkapanya fraud, yang berrdampak
pada denda dan kerugian, harus diungkapakan dalam catatan atas laporan keungan. Lebih jauh
lagi, bila fraud yang terjadi sangat material dan bisa mempengaruhi kewajaran laporan keuangan,
maka auditor tidak dapat memberikan opini “wajar tanpa pengecualian”.
Pada sektor public, yang menjadi auditor eksternal adalah Badan Pemerika keuangan
(“BPK”) berdasarkan UU No 15 tahun 2004 tentang pemeriksaan pengelolaan dan tanggung jawab
keuangan Negara. Dalam UU ini diatur bahwa BPK melaksanakan pemeriksaaan atas pengelolaan
dan tanggung jawab keungan Negara. Pemeriksaan tersebut terdiri dari pemeriksaan keuangan,
pemeriksaan kinerja, dan pemeriksaan dengan tujuan tertentu.

Kebijakan Anti Fraud

Beberapa Perusahaan besar telah menyadari bahaya besar akibat fraud, mereka telah
melakukan perencanaan sedini mungkin terhadap pencegahan fraud ini. Tengok saja Telkom Grup
dan Astra Grup, kedua Perusahaan ini telah mengantisipasi fraud yang diwujudkan dalam
kebijakan anti fraud yang diterapkan di dalam peruashaan.

PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI

Audit SIA merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan
apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu
menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).
Pada dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu:
1. Pengendalian Aplikasi (Application Control)
Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara
benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas
output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian
umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas
pengendalian-pengendalian aplikasi.
2. Pengendalian Umum (GeneralControl)
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem
komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk
melakukan pemrosesan data.

PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal.
Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap
sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri
digolongkan menjadi beberapa, diantaranya:
a) Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas
dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat
dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
b) Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem
informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c) Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk
pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen
perubahan atas diimplementasikannya sebuah sistem informasi.
d) Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem
informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen
organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses
bisnisnya dapat berjalan dengan baik.

Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk
kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak
aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB
pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server
Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada
server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai
sebagai antar-muka (interface) untuk mengakses aplikasi padaserver.
Macam Pengendalian Aplikasi
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun
lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu
yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.

Pengendalian Input
Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi,
akurat, dan terverifikasi.

Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana
proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2)
tahapan database, proses yang dilakukan pada berkas-berkas master.

Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat
mata) jika output yang dihasilkan juga kasat mata.

Pengendalian Berkas Master

Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:
 Anomaly penambahan
 Anomaly penghapusan
 Anomaly pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya apabila pengendalian
umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila
pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik